CA Veracode: l’88 per cento delle app Java è esposto ad attacchi

Veracode, Inc., azienda leader nella sicurezza del software recentemente acquisita da CA Technologies , ha diffuso i risultati dello studio 2017 State of Software Security Report, un’analisi dettagliata dei dati relativi ai test sulla sicurezza delle applicazioni dagli scanning eseguiti dagli oltre 1.400 clienti CA Veracode. Oltre ai vari trend di settore come i tassi di correzione delle vulnerabilità e la percentuale di applicazioni soggette a vulnerabilità, lo studio evidenzia il rischio molto esteso rappresentato dalla vulnerabilità dei componenti open source. Lo studio condotto da CA Veracode ha infatti rilevato che l’88% delle applicazioni Java contiene almeno un componente vulnerabile che le rende suscettibili ad attacchi di vaste proporzioni. In parte questo è dovuto al fatto che il 28% delle aziende esegue regolarmente analisi al fine di comprendere quali sono i componenti presenti all’interno delle loro applicazioni.

“L’impiego universale di componenti per lo sviluppo applicativo implica che, quando emerge una vulnerabilità a carico di un componente, essa può potenzialmente interessare migliaia di applicazioni – rendendone molte passibili di violazione con un unico exploit,” ha dichiarato Chris Wysopal, CTO di CA Veracode.

Nel corso degli ultimi dodici mesi, numerose violazioni ad alta visibilità nelle applicazioni Java sono state provocate da vulnerabilità diffuse nei componenti commerciali o open source. Un esempio di vulnerabilità di vaste proporzioni a livello di componenti è stato “Struts-Shock”, scoperto nel marzo 2017. Secondo questa analisi, il 68% delle applicazioni Java che utilizzavano la libreria Apache Struts 2 usava ancora una versione vulnerabile del componente nelle settimane successive ai primi attacchi.

Questa vulnerabilità critica presente nella libreria Apache Struts 2 ha reso possibili degli attacchi Remote Code Execution (RCE) basati sull’iniezione di comandi, ai quali sono risultati vulnerabili fino a 35 milioni di siti. Sfruttando questa pervasiva vulnerabilità, i cyber criminali sono riusciti a colpire svariate applicazioni delle vittime, fra cui l’Agenzia canadese delle Entrate e l’Università del Delaware.

Il report “2017 State of Software Security” ha inoltre rivelato che circa il 53,3% delle applicazioni Java si fonda su una versione vulnerabile dei componenti Commons Collections. Ancora oggi è in uso lo stesso numero di applicazioni che utilizzavano la versione vulnerabile del 2016. L’impiego di componenti per lo sviluppo applicativo è un pratica diffusa in quanto consente agli sviluppatori di riutilizzare codice funzionale, accelerando il rilascio del software. Gli studi mostrano che fino al 75% del codice di una tipica applicazione è costituto da componenti open source.

“I team addetti allo sviluppo non smetteranno certo di utilizzare i componenti, ed è giusto che sia così,” ha continuato Chris Wysopal. “Quando però compare un exploit, il fattore tempo è fondamentale. I componenti open source e di terze parti non sono necessariamente meno sicuri del codice sviluppato in casa, ma è essenziale mantenere un inventario aggiornato delle versioni utilizzate per ogni componente. Abbiamo già assistito a un certo numero di violazioni derivanti dalla presenza di componenti vulnerabili perciò prevedo che, se le aziende non inizieranno a prendere più sul serio questa minaccia e a usare appositi tool per monitorare l’utilizzo dei componenti, il problema non potrà che peggiorare”.

L’utilizzo di componenti vulnerabili è fra le tendenze più preoccupanti a carico della sicurezza delle applicazioni rilevate nel rapporto “State of Software Security”. Ad esempio, secondo quanto rilevato dallo studio di CA Veracode, mentre molte organizzazioni si concentrano sulla risoluzione delle vulnerabilità più pericolose, alcune hanno ancora difficoltà a correggere in modo efficiente i difetti del software. Anche gli errori più gravi necessitano di molto  tempo per la loro correzione (l’analisi indica che solo il 22% dei difetti di elevata gravità è stato risolto in meno di 30 giorni) e la maggior parte degli aggressori sfrutta le vulnerabilità nel giro di pochi giorni dalla loro scoperta. Gli hacker e le organizzazioni degli stati-nazione dispongono di tempo abbondante per la potenziale infiltrazione di una rete aziendale.

Lo studio di CA Veracode ha anche scoperto che:

  • Le vulnerabilità continuano a emergere a tassi allarmanti nel software precedentemente non testato. Il 77% delle app presenta almeno una vulnerabilità in sede di prima scansione.
  • Le organizzazioni governative continuano a mostrare risultati inferiori a quelli di altri settori: non soltanto hanno segnato un tasso di superamento del test del 24,7% nell’ultimo scanning, ma hanno anche registrato la più alta prevalenza di vulnerabilità altamente sfruttabili quali cross-site scripting (49%) e SQL injection (32%).
  • Come metro di paragone, fra la prima e l’ultima scansione, il settore delle infrastrutture critiche ha registrato il tasso OWASP più alto (29,8%) fra tutti i settori studiati, pur avendo accusato una lieve flessione (29,5%) in occasione dell’ultima scansione. I due settori che hanno registrato lievi miglioramenti tra la prima e l’ultima scansione sono stati la sanità (27,6% vs. 30,2%) e la GDO/ricettività (26,2% vs. 28,5%).

La versione integrale del Report 2017 State of Software Security, è disponibile a questo link.

 


CA Veracode: l’88 per cento delle app Java è esposto ad attacchi - Ultima modifica: 2017-12-19T15:40:28+00:00 da Francesco Marino

Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic

Recent Posts

BlueIT Innovation Hub: il luogo dove l’innovazione prende forma, mettendo la persona al centro

BlueIT ha inaugurato il suo Innovation Hub nel cuore della Campagna Cremasca. La sede è…

24 ore ago

Asus Zenbook A14: il laptop AI-ready che pesa meno di un chilo

Lo Zenbook A14 è il nuovo ultraleggero firmato ASUS: design in Ceraluminum™, prestazioni AI con…

2 giorni ago

DolphinGemma: g’AI di Google che decifra il linguaggio dei delfini

Google lancia DolphinGemma, un'Ai rivoluzionaria capace di decifrare il linguaggio dei delfini, aprendo nuove prospettive…

4 giorni ago

OpenAI vuole aprire un social: la sfida di Sam Altman ad Elon Musk

OpenAI vuole costruire un social network simile a X. Sam Altman mira a fondere intelligenza…

4 giorni ago

Spoofing, cos’è il nuovo attacco hacker

Dalle email ai call center fasulli, cresce l’uso dello spoofing per truffare utenti e aziende.…

6 giorni ago

HP guida la trasformazione del futuro: AI e personalizzazione per il nuovo paradigma tecnologico

HP ridisegna il futuro del lavoro con l’AI: nuove soluzioni personalizzate migliorano la relazione con…

1 settimana ago

Digitalic © MMedia Srl

Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135

Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011